私たちは TL-ER6020 を「非 NAT」モードで設定しています (WAN 側は /30 ネットワーク上にあり、/29 ネットワークをルーティングします)。
ルーターを「リモート管理」できるようにしたいのですが、WAN 側から HTTP 経由でアクセスできないようにしたいです。
Cisco RV042 では、ルーターに PPTP し、内部 IP 経由でルーターにアクセスできるように設定していました。しかし、このルーターには NAT が設定されていました。
この問題に取り組む正しい方法は何でしょうか?
答え1
ルータ内部のファイアウォールにアクセスできる場合は、WAN インターフェイスから送信される HTTP パケットを拒否します。
HTTP が内部から受け入れられる場合、VPN では VPN に接続してからリモート アクセスするだけの問題になります。
答え2
あなたの発言から私が理解しているのは、内部ネットワークと WAN ネットワークの両方がパブリック IP アドレスを使用しているということです (内部から WAN への NAT がないため)。
さて、内部ネットワークを安全なネットワークとして話しているので、TL-ER6020 は WAN から内部へのすべてのトラフィックを拒否/ブロックし、内部ネットワークで開始された接続は WAN 経由で許可していると想定しています。
そうは言っても、一般的に使用されるアプローチは次のとおりです。
直接リモート管理を安全に有効にします。これを効果的に行うには、次のことを行う必要があります。
- 安全なプロトコルのみを使用する (HTTP、SSH など)
- セキュア管理プロトコルを除き、WANからTL-ER6020へのすべての接続をブロックします。
- 接続を許可するソースIPを制限する
- 非常に強力な認証メカニズムを使用します(たとえば、SSH では、パスワード/パスフレーズではなく RSA 認証キーを使用する必要があります)
静的 IP を持つネットワークからリモート デバイスに接続し、デバイスがこれらの機能をサポートしている場合、これは実行可能なソリューションです。残念ながら、TL-ER6020 ではそれができないようです。
リモート接続を VPN サービスのみに制限することで、攻撃対象領域を縮小します。たとえば、SSH を除いてデバイスをロックダウンするだけでも、攻撃対象領域が縮小されることは注目に値します。VPN アプローチの主な利点は次のとおりです。
- VPN サーバー/デーモン/サービスは、他のほとんどのリモート アクセス サービス (Telnet がその明確な例) よりも安全で回復力が高いと考えられています。いずれにしても、SSH または SSL を適切に実装すれば、同様に強力になります。
- 複数のサービスを許可すると、実際に攻撃対象領域を減らすことができます。たとえば、VPN 経由で FTP、HTTP、SSH を許可すると、VPN サービスのみがインターネットに公開され、厳密に保守する必要があるコンポーネントが効果的に削減されます。
現実の状況に戻ると、オプション 1 がデバイスに適していないと思われる場合は、VPN を選択する必要があるかもしれません。
「Cisco RV042 では、ルータに PPTP し、内部 IP 経由でルータにアクセスできるように設定しました。ただし、このルータには NAT が設定されていました」という点について、設計に関する想定が正しければ、VPN 接続を開始して、ルータ自体の内部パブリック IP にアクセスするだけです。言い換えると、NAT がないということは、内部ネットワークに割り当てた実際の (おそらくパブリック) IP を処理する必要があることを意味します。